Kdo je (bil) Lzplay.net
Matej Huš
3. okt 2019 ob 18:37:46
Najnovejši Huaweijev telefon Mate 30, ki je izšel minuli mesec, zaradi znanih peripetij z ameriško administracijo nima več Googlovih aplikacij. To je za nekatere potencialne kupce velik manko, zato so začeli iskati možnost, kako nanj namestiti aplikacije ročno. Na telefonih, ki imajo odklenjen zaganjalnik (bootloader), to ni težko, saj lahko na sistemsko particijo zapečemo nov ROM in tudi Googlove aplikacije (Open Gapps). Toda Mate 30 ima zaganjalnik zaklenjen. Pojavile so se zelo sumljive alternative.
Daleč najpopularnejša, dasi sedaj že zaklenjena, je bila stran Lzplay.net. Zadoščalo je, da smo stran obiskali, namestili tamkajšnjo aplikacijo, nekajkrat kliknili Next in I agree, pa so se na telefonu pojavile Google aplikacije. YouTube, Maps, vse je bilo. A pogled v drobovje Lzplay razkrije, da gre za izjemno nevarno prakso.
Lzplay uporablja Androidov Mobile Device Management (MDM), ki je namenjen poslovnim uporabnikom. Če je vaš Android del omrežja podjetja, storitve, kot je Android for Work, sistemskemu administratorju omogočajo, da ima popoln nadzor nad telefonom, podobno kot pri računalnikih v domeni. To pomeni, da lahko na daljavo spreminja gesla, namešča ali odstranjuje aplikacije ter vidi vso vsebino. To je uporabno v primerih, ko administratorju stoodstotno zaupamo - na primer na službenih telefonih, kjer mu moramo, ali če želimo kakšno lastno napravo z Androidom oddaljeno nadzorovati (IoT). Z namestitvijo aplikacije z Lzplay pa smo te globalne pravice dodelili spletni strani, ki je bila registrirana pred temi meseci. Na Kitajskem z neznanim lastništvom.
Teoretično je aplikacijo Lzplay moč po namestitvi Googlovih aplikacij odstraniti, a to ni tako enostavno kakor z običajnimi aplikacijami. Najprej ji moramo odvzeti administratorske privilegije, ki so zakopani globoko v nastavitvah. Nameščanje neznane opreme (ali je kitajska, tu ni glavni problem) z globalnimi administratorskimi pravicami je v nasprotju z vsemi varnostnimi in zasebnostnimi praksami. Tudi neuradni ROM-i in OpenGapps so neuradni, a so odprtokodni in predvsem preverjeni. Lzplay ni nič od tega.
Zato tudi ni primerno, da bi Huawei v tem primeru izpostavljali kot vohljača, čeprav je ravnal malomarno. Drži, da je Huawei po implementaciji MDM dodal še dve lastni funkciji (com.huawei.permission.sec.MDM_INSTALL_SYS_APP in om.huawei.permission.sec.MDM_INSTALL_UNDETACHABLE_APP), ki ju Android sicer nima. Huawei je problem sistemskih pravic rešil na način, ki je v Androidu izrecno prepovedan. Sistemske aplikacije imajo sistemske privilegije le, če so nameščene na sistemski particiji. Na tem telefonu to ni možno, ker je bootloader zaklenjen, sistemska particija pa omogoča le bralni dostop. Toda - Huawei je omogočil, da aplikacijam, ki niso na sistemski particiji, dodelimo sistemske privilegije, če jih označimo kot sistemske. To je prepovedano na napravah z Googlovimi aplikacijami, Huawei Mate 30 pa jih seveda nima.
Huawei je zanikal kakršnokoli povezavo z Lzplay, čeprav aplikacija uporablja nedokumentirane klice. Aplikacija je napisana tako, da je ni možno enostavno razvozlati (obfuscation) in šifrirana. Lzplay.net je kmalu po razkritju sicer prenehala delovati in ta hip spet ni nobenega pametnega način, kako na Mate 30 namestiti Googlove aplikacije. Huawei je tudi preklical potrebni certifikat. Naprave, ki že imajo nameščen Lzplay, pa sedaj ne opravijo več Googlovega testa SafetyNet.